关于保护基于硬件的恶意软件的思考

戴尔将PowerEdge服务器发布到硬件中的特洛伊木马

好吧,这是令人不安的。显然戴尔发布了多种模型的他们的PowerEdge系列服务器特洛伊木马内置于服务器的实际硬件中(嗯,我认为固件)。戴尔正在为这个特殊问题发出修复,但这真的突出了恶意软件开发人员的风险和复杂程度越来越突出。

首先,如果它嵌入到服务器的硬件中,它会变得非常困难。一个明显的例子是如果恶意软件是内置于主板的固件中。如果恶意软件在启动时运行,则在操作系统处于操作之前,危险是显而易见的。

但如果恶意软件在磁盘控制器中何时何地?还是nic?

让我们首先讨论磁盘控制器方案。恶意软件可以有能力修改被写入或从磁盘读取的数据。这会影响从SQL记录到操作系统使用的虚拟磁盘空间的所有内容。现在,显然,它们的可见性过去的一些限制(至少在当前磁盘控制器)过去磁盘块以及实际文件系统数据(例如数据或元数据)。但如果恶意软件可以假设一个NTFS.或者ext2./ext3.文件系统是哪个,这是一个非常好的猜测,那么它没有太大的代码来修改正在读取或写入的内容。

与你的nic一起去了。如果您的网卡正在监视您的网络流量,操作系统和AV软件不会检测到安全违规,并且您可能是溶胶。

所以很多人都可以提供最初合理的建议:嗯,使用加密。这听起来很棒,直到你意识到高负荷服务器经常卸载许多服务,包括加密,到可能被感染的硬件。如果我卸载我的SSL.加密到我的高端英特尔NIC,并且NIC感染恶意软件,这有助于解决问题?它没有。

那么解决方案是什么?

我们知道我们不能完全阐明威胁,至少不是基于过去30年的计算机科学或家庭笔记本电脑的经验。不可能。我们可以减轻风险吗?

同样,缓解风险的快速方法是加密数据,但随后我们必须担心性能,特别是如果我们不能依赖磁盘和网卡控制器为我们执行该加密。

我们可以使用行为分析吗?

如何?

如果操作系统没有看到数据一旦到达硬件控制器,那么行为我们分析了吗?

这是一个深刻的复杂问题。

加入网络世界社区有个足球雷竞技appFacebooklinkedin.评论是最重要的主题。
有关的:

版权所有©2010.Raybet2

SD-WAN采购商指南:要询问供应商(和您自己)的关键问题